Модель угроз персональных данных. Модель угроз информационной безопасности испдн

Итак коснемся третьего из рассматриваемых документов ФСТЭК - "Базовой модели угроз безопасности персональных данных". Этот стастраничный документ поражает... своим отставанием от современной ситуации лет на 10-15.

Когда я только начинал читать этот манускрипт, у меня сложилось впечатление, что все это я уже где-то читал. И действительно дойдя до конца, я понял, что процентов на 80 "Базовая модель" является творческой переработкой статей и материалов из сети Интернет, посвященных безопасности, сетевым атакам, вирусам и т.п. Правда все эти материалы были опубликованы в начале-середине 90-х годов. Чего только стоит упоминание таких современных атак, как Land, Smurf, Ping of Death и т.п.

Раздел про вирусы поражает своим интеллектом - упоминание перехвата прерывания INT 13H, как основного канала попадания вирусов в систему, рассказ о звуковых и видеоэффектах и изменении палитры экрана, замена символов при вводе, форматирование дискет (я давно не видел компьютеров с Floppy-накопителями), заражение OBJ-файлов. Как вам такая фраза из документа, датированного 2008 годом: "Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять файлы с расширением.СОМ "? Какой COM, какой DOS? О чем говорят эти люди, отвечающие в стране за информационную безопасность?

Большой раздел посвящен сетевым атакам. Все бы ничего, если бы он не устарел еще до своего опубликования. Упоминание Back Orifice, NetBus, Nuke говорит само за себя. Рассказ о том, как перехватываются данные за счет подмены адресов и уязвимостей в ARP-протоколе было бы интересным, если бы не напоминало книгу "Атака из Интернет", выпущенную в середине 90-х и выложенную в Интернет в то же время.

O современных сетевых червях, DDoS-атаках, утечках данных через IM или e-mail, обходе средств защиты, атаках на прикладном уровне в данной модели угроз ни слова. Зато полно упоминаний таких "известных" в мире ИБ компаний, как Axent, CyberSafe, L-3, BindView и т.п. Помню, когда я упоминал эти компании в своих статьих и книжке конца 90-х, я еще тогда написал, что эти компании уже не существуют т.к. были поглощены более крупными игроками рынка ИБ. Авторы документа находятся в счастливом неведении о данном факте.

Поражают знания авторов документа в области вредономных программ. Среди их носителей среди видеоадаптеров и звуковых плат, которые почему-то названы встроенным носителем информации, также указан блок питания! Почему блок питания стал не только носителем информации, но и носителем вредоносного ПО я так и не смог понять. Видимо это результат закрытых исследований, проводимых уважаемым регулятором.

Что еще сказать про этот документ? В общем-то и нечего;-(Упомянутые факты говорят сами за себя.

Приветствую, Хабражители!

• для понимания тех угроз и уязвимостей, которые расплодились в информационной системе, а так же нарушителей которые актуальны для данной информационной системы, чтобы запустить процесс технического проектирования для их нейтрализации;
• для галочки, чтобы были выполнены все условия некого проекта, например в сфере персональных данных (не говорю что модель угроз при выполнении проектов в сфере персональных данных всегда делается для галочки, но в основном это так).

Здесь так же большую роль играет Руководство. В зависимости от того, что хочет Руководство, грамотно спроектировать и построить защиту (наш вариант), или же защититься от неких контролирующих органов. Но на эту тему можно написать отдельную статью, в ней будет что сказать.

Модель угроз и модель нарушителя неразрывно связаны. Много споров возникало на тему делать эти модели разными документами, или же правильнее делать это одним документом. По моему мнению, для удобства именно построения модели угроз и модели нарушителя, правильнее делать это одним документом. При передаче модели угроз инженерам (если же моделированием угроз, нарушителя и проектированием занимаются разные отделы в компании) им необходимо видеть ситуацию в полном объеме, а не читать 2 документа и тратить время на соединение их воедино. Таким образом, в данной статье я буду описывать модель угроз и модель нарушителя (далее по тексту — модель угроз) как единый неразрывный документ.

Типовые проблемы

По своему опыту я видел большое количество моделей угроз которые были на столько по разному написаны, что привести их к одному шаблону было просто нереально. У человека не было четкого представления, что писать в таком документе, для кого этот документ и какова его задача. Многие интересуются, сколько листов должна быть модель угроз, что в ней писать, как лучше это сделать.

Типичные ошибки при составлении модели угроз я выявил следующие:

• отсутствие понимания для кого этот документ:
• отсутствие понимания структуры документа;
• отсутствие понимания необходимого содержания документа;
• отсутствие необходимых для проектирования выводов.

План модели угроз

Так как мы, после составления модели угроз, передадим ее для анализа инженерам (не обязательное условие), информация будет группироваться с точки зрения удобства для разработчика модели угроз и инженера, который потом будет проводить ее анализ.
При составлении модели угроз я придерживаюсь следующего плана(подразделы не включены):

Введение
1. Перечень сокращений
2. Перечень нормативных документов
3. Описание ИС
4. Угрозы безопасности
Заключение.
Приложение А.
Приложение Б.
Приложение В.

Забегая на будущее, модель угроз строится из принципа — "Нет необходимости читать весь документ чтобы понять его смысл и сделать правильные выводы ". Давайте разберем каждый из пунктов.

Введение

Типичное введение, описывающее предназначение данного документа и что должно быть определено на этапе его написания.

1. Перечень сокращений

Зачем оно тут? — спросите вы. А я вам отвечу:

• документ может читать не только специалист по информационной безопасности;
• документ может читать высшее руководство, имеющее некое техническое образование;
• при описании Информационной системы некоторые термины могут быть неизвестны ни специалистам, ни руководству.

2. Перечень нормативных документов

Данный раздел обычно необходим в проектах, где используется некая документация, в которой приписаны некие требования или рекомендации. Например, при работе с персональными данными в данный раздел записываются нормативные документы ФСТЭК, ФСБ и т.д.

3. Описание ИС

Данный раздел является одной из главных частей модели угроз. Описание Информационной системы должно раскладывать ее по полочкам на столько подробно, на сколько это возможно. Данные должны включать:

• используемые технические средства, их назначение. Как пример:

Идентификатор служит для быстрого обращения к активу из текста документа, описание служит для понимания что за техническое средство используется, примечание служит для уточнения данных о технических средствах и их назначениях.

• детальное описание технических средств. Как пример: ТС – терминальный сервер. Подключение удаленных клиентов по протоколу RDP для работы с системой. Подключение происходит с аппаратных тонких клиентов и персональных компьютеров. На терминальном сервере установлено приложение, используемое для работы с базой данных.
• Схему подключения технических средств. Данная схема должна отражать детальную архитектуру информационной системы.
• Реализованные защитные меры. Данная информация позволит разработчику модели угроз учесть уже внедренные средства защиты и провести оценку их эффективности, что позвонит с некоторой долей вероятности снизить затраты на закупку средств защиты.
• Формирование перечня активов. Необходимо определить перечень активов, их значимость для компании и идентификатор для быстрой ссылки из документа. Как пример:

В зависимости от выбранной методики оценки рисков, 3 раздел модели угроз может содержать дополнительную информацию. Например, в случае моделирования угроз для персональных данных, данный раздел дополняется «показателями исходной защищенности ИСПДн», «основными характеристиками ИСПДн».

4. Угрозы безопасности

В данном разделе описываются результаты моделирования угроз. В описание входит:

• актуальность внешних или внутренних угроз;
• перечень актуальных нарушителей;
• перечень актуальных угроз информационной безопасности.

Перечень актуальных угроз удобно оформлять в виде такой таблички:

Здесь опять же все просто, идентификатор, описание угрозы и активы, на которые действует угроза. Информации более чем достаточно.

Заключение

В заключении необходимо описать какие мероприятия необходимо провести для защиты Информационной системы. Пример:

1. Защита от несанкционированного подключения незарегистрированных технических средств:

• серверов СУБД;
• серверов приложений.

2. Криптографическая защита каналов связи для доступа к Информационной системе (построение VPN сети).

Информация, расположенная в вышеописанных разделах содержит все необходимые данные для проектирования системы защиты Информационной системы. Вся информация, которая содержит определение актуальных нарушителей, расчет актуальных угроз информационной безопасности находятся в приложениях. Это позволяет получить всю необходимую информацию на первых страницах документа. По опыту скажу, что модель угроз для хорошего проекта и серьезной информационной системы занимает от 100 страниц. Информация представленная выше занимает обычно не более 30.

Приложение А

В приложении А я обычно описываю модель нарушителя. Как правило оно состоит из:

• описания видов нарушителей и их возможностей (внутренние, внешние);
• описание каналов доступа в ИС (физические, общедоступные, технические)
• описание данных видов нарушителей с привязкой к штатной структуре организации;
• описание возможностей данных нарушителей;
• определение актуальности каждого из видов нарушителей.

Табличка на выходе:

Тип нарушителя	Категории нарушителей	Идентификатор
Внешний нарушитель	Криминальные структуры, внешние субъекты (физические лица)	N1
Внутренний нарушитель	Лица, имеющие санкционированный доступ в КЗ, но не имеющие доступа к ИСПДн (технический и обслуживающий персонал)	N2
	Зарегистрированные пользователи ИСПДн, имеющие доступ к ПДн	N3
	Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента ИСПДн	N4
	Зарегистрированные пользователи с полномочиями системного администратора ИСПДн	N5
	Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн	N6
	Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте	N7
	Разработчики и лица, обеспечивающие поставку, обслуживание и ремонт технических средств для ИСПДн	N8

Приложение Б

Данное приложение служит для описания и расчета актуальности угроз. В зависимости от выбора методики определения актуальности угроз информационной безопасности, оценки рисков, можно по разному оформлять это приложение(раздел). Я оформляю каждую угрозу следующей табличкой:

Сформатировать табличку в хабраредакторе не очень получилось, в документе она выглядит гораздо лучше. История формирования именно такого вида таблички берет свое начало из стандартов серии СТО БР. Далее она немного модифицировалась под проекты под Персональные данные, и сейчас она представляет собой средство описания угроз для любого из проектов. Данная табличка в полной мере позволяет рассчитать актуальность угрозы информационной безопасности для активов компании. Если используется какая-либо методика оценки рисков, данная табличка так же подойдет. Данный пример приведен для расчета актуальности угроз в рамках работ по проекту защиты Персональных данных. Читается табличка следующим образом: Угроза -> Нарушитель -> Активы -> Нарушаемые свойства -> Данные для расчета актуальности -> Выводы.

Каждая угроза оформляется данной табличкой, которая в полной мере описывает ее и на основе данной таблички можно легко сделать вывод об актуальности/неактуальности угрозы.

Приложение В

Приложение В — справочное. В ней расписаны методики расчета актуальности или же методики оценки рисков.

В результате, при использовании данной методики оформления, модель угроз будет являться читабельным и полезным документом, который можно использовать в организации.

Спасибо за внимание.

при их обработке в информационной системе персональных данных

1. Общие положения

Данная частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «СКУД» в ___________(далее – ИСПДн) разработана на основании:

1) «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России;

2) «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России;

3) ГОСТ Р 51275-2006 «Защита информации. Факторы, воздействующие на информацию. Общие положения».

Модель определяет угрозы безопасности персональных данных, обрабатываемых в информационной системе персональных данных «СКУД».

2. Перечень угроз, представляющих потенциальную опасность для персональных данных, обрабатываемых в испДн

Потенциальную опасность для персональных данных (далее – ПДн) при их обработке в ИСПДн представляют:

угрозы утечки информации по техническим каналам;

физические угрозы;

угрозы несанкционированного доступа;

угрозы персонала.

1. Определение актуальных угроз безопасности пДн при обработке в испДн

3.1. Определение уровня исходной защищенности испДн

Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Методика), утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России. Результаты анализа исходной защищенности приведены в Таблице 1.

Таблица 1. Уровень исходной защищенности

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний	Низкий
1. По территориальному размещению
Локальная ИСПДн, развернутая в пределах одного здания
2. По наличию соединения с сетями общего пользования
ИСПДн, физически отделённая от сетей общего пользования.
3. По встроенным (легальным) операциям с записями баз ПДн
Чтение, запись, удаление
4. По разграничению доступа к ПДн
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн
5. По наличию соединений с другими базами ПДн иных ИСПДн
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн
6. По уровню обобщения (обезличивания) ПДн
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки
ИСПДн, предоставляющая часть ПДн
Характеристики ИСПДн

Таким образом, ИСПДн имеет средний (Y 1 =5 ) уровень исходной защищенности, т. к. более 70% характеристик ИСПДн соответствуют уровню защищенности не ниже «средний», но менее 70% характеристик ИСПДн соответствуют уровню «высокий».

Они, в свою очередь, могут подразделяться на санкционированные и случайные. Внешнюю опасность могут оказывать террористы, зарубежные спецслужбы, криминальные группировки, конкуренты и т.д., которые могут блокировать, копировать, и даже уничтожать информацию, имеющую ценность для обеих сторон.

Базовая модель угроз

Внутренняя угроза «утечки» информации – это такая угроза, которую создают сотрудники определенного предприятия. Они могут санкционировано взломать и использовать ее в личных интересах. Такое возможно, если в компании не налажена техническая мера и контроля доступа к .

Право на защиту личной информации, гарантированное Конституцией РФ каждому гражданину.

Уровни защиты

Сама система защиты информации может иметь четыре . Отметим, что выбор средств определяет оператор на основании нормативных актов (часть 4 статьи 19 ФЗ «О персональных данных»).

Требования, необходимые для обеспечения четвертого уровня безопасности персональных данных:

• организация должна создать режим, препятствующий проникновению в помещения лиц, не имеющих к ним доступ;
• необходимо позаботиться о сохранности персональных файлов;
• руководитель должен утвердить оператора, а также документы, в которых заключался бы перечень лиц, которым разрешено в силу служебных обязанностей обращаться к конфиденциальной информации других сотрудников;
• использование средств защиты информации, прошедших процедуру оценки в области обеспечения безопасности информации.

Для обеспечения третьего уровня защищенности необходимо соблюдения всех требований четвертого уровня и добавляется еще один – обязательно назначается должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в .

Для второго уровня защищенности характерно положение о том, что к может иметь доступ сам оператор или сотрудник, которому это позволяют его служебные обязанности. А также к нему относятся все требования третьего уровня безопасности.

И, наконец, для обеспечения первого уровня безопасности необходимо соблюсти все вышеперечисленные требования и обеспечить соблюдение следующих пунктов:

• установка в электронном журнале безопасности такой системы, которая могла бы автоматически заменять доступа сотрудника к в связи смены его полномочий;
• назначение ответственного человека (сотрудника) за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Контроль безопасности оператор должен производить более одного раза в три года.

Он имеет право поручить это дело юридическому лицу или лицам, у которых на это есть лицензия, заключив с ними договор («Требования к защите персональных данных при их обработке в информационных системах персональных данных от» 1 ноября 2012 г. №1119).

Обеспечение высокого уровня защиты

Законом дано право юридическим лицам самим определять меру защиты своей конфиденциальной информации. Не будьте же уязвимыми – примите необходимые меры.

Как вы, наверное, знаете, недавно в приказ ФСТЭК №17 “Требования о защите информации, не содержащей государственную тайну, содержащуюся в государственных информационных системах” были внесены неоднозначные изменения, по которым есть вопросы и проблемы с их применением. Сегодня давайте обсудим одну из таких проблем:

теперь при моделировании угроз необходимо использовать “новую” БДУ ФСТЭК России, а новой методики моделирования угроз не предвидится. Далее подробно …

В соответствии с пунктом 14 приказа, обаятельным этапом формирования требований к защите информации в ГИС является:

“определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;”

По сути это две отдельных работы, требования к каждой из которых детализируются в пункте 14.3 приказа:

I. Определение угроз

“14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей , анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru ) …”

II. Разработка модели угроз

“Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик , а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации”

Можно ли использовать при этом произвольные методики? Нет…

“Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы , разработанные и утвержденные ФСТЭК России ”

III . Давайте разбираться, какой же методический документ надо использовать? В соответствии с каким документом должен требовать государственный орган проведение работ от подрядчика?

Единственный утвержденный и опубликованный методический документ ФСТЭК России в части моделирования угроз - это “Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год”. Условно назовем её “старая методика”. (Есть ещё утвержденный, но не опубликованный документ - "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры", утв. ФСТЭК России в 18.05.2007, но его мы не будем рассматривать) .

По неформальной информации, “новой” методики для ГИС ожидать в ближайшее время не стоит. Тогда надо определиться со “старой” методикой. Нужно ли и можно ли её использовать? Есть несколько причин против использования методики:

Первая: “старая” методика предназначена только для определения угроз ПДн и ИСПДн. Мы же рассматриваем Государственные информационные системы, которые не всегда могут являться ПДн. Требования Приказа применяются и для иной информации в ГИС, в том числе для общедоступной информации и информации подлежащей обязательному опубликованию.

Вторая: “старая” методика разработана на основании Постановления правительства №781, которое уже отменено. Вместе с этим в юридической практике применяется следующее общее правило “Признание основного нормативного правового акта утратившим юридическую силу означает утрату юридической силы производных и вспомогательных нормативных правовых актов, если не установлено иное” . То есть – утратила юридическую силу.

Третья: “старая” методика предназначена для определения актуальных угроз – “Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн” , а в соответствии с Приказом от нас требуется определить “угрозы безопасности информации, реализация которых может привести к нарушению безопасности информации” . Согласитесь, что разница есть и понятия эти не тождественные.

Четвертая: Методический документ должен охватывать и вторую часть работ – а именно описывать, как разрабатывается документ под названием Модель угроз. В “ старой” методике об этом ни слова.

Пятая: В соответствии с Приказом угрозы должны определяться в зависимости от одного набора характеристик. Примерно же набор характеристик применяется в БДУ ФСТЭК. А в “старой” методике, определяются в зависимости от другого набора. Подробнее на рисунке.

С одной стороны, все выводы указывают на тот факт, что это не подходящая для ГИС методика. С другой стороны, есть один весомый аргумент за её использование – это единственная утвержденная и опубликованная методика ФСТЭК России в области моделирования угроз.

PS : На самом деле, все указанные аргументы против использования “старой” методики, можно было бы устранить внеся небольшие “косметические” обновления в методику. Поменять термины, ИСПДн на ИС, ПДн на информацию и т.п. + добавить некоторые описательные разделы из проекта “новой” методики + немного актуализировать таблицу для расчета исходной защищенности. А все формулы для расчета актуальности угроз можно было оставлять без изменений – они себя хорошо показали за время, прошедшее с 2008 года.

Думаю, что на такую небольшую актуализацию методики моделирования угроз, месяца было бы вполне достаточно. А вот три года, это уже перебор.